NFT 市場的蓬勃發展為犯罪分子提供了新的機會。The Block 報道,黑客通過入侵 Discord 服務器和 Twitter 賬戶,發佈虛假的 NFT 空投和抽獎活動來誘騙社群用戶,從而盜取用戶的數字資產。報道更發現有95%的黑客是 18 歲以下學生,花費數千美元在Uber Eats,買名牌服裝,並花費大量的錢購買 Roblox皮膚。
利用竊取金額來購買Roblox皮膚
報道提到,像 Inferno 和 Venom 這樣的 NFT 漏洞利用者,通常用於透過被入侵的 Discord 伺服器和 Twitter 帳戶進行釣魚攻擊。
據 PeckShield 和 Dune Analytics 上的多個儀表板收集的數據,此類攻擊在過去九個月中影響了至少 32,000 個受害者錢包。攻擊者總共竊取了總價值 7,300 萬美元(約 5.7 億港元)的 NFT 和加密貨幣。
「其中95%是18歲以下的孩子,他們還在上高中,」一位化名為 Plum 的安全研究人員指。Plum 在 NFT 市場 OpenSea 的信任和安全團隊工作,他補充說,這就是攻擊數量在暑假期間傾向於增加的原因。
Plum說:「我已經和他們中的許多人交談過,知道他們還在上學」,「我看過他們在學校的照片和短片。他們談論他們的老師,他們如何在課堂上失敗,或者他們需要做功課。」
「這些孩子似乎沒有太大的努力來隱藏他們的新財富。」
「他們會買手提電腦、幾部手提電話、鞋子,並在 Roblox 上花費大量的錢。他們大多數時間都在玩Roblox。所以他們會為他們的Roblox 裝身,購買皮膚等裝備」Plum說。
「他們認為自己有上帝模式」
Plum補充說,他們經常也會在 Bitrefill 的禮品卡市場上用加密貨幣購買禮品卡,花費數千美元在 Uber Eats上,買名牌服裝,付錢讓別人替他們做功課,甚至會賭博。,「他們會在一個 Discord 通話中下注四萬美元玩網上撲克遊戲,並將其直播給其他人觀看。」
Plum 說,攻擊者試圖支付低收入國家的人使用其個人資料在交易所註冊,以模糊現金轉出的蹤跡。但他們說,部份年青黑客現在應該已經被抓住了,因為他們留下了足夠的行動證據——如果不是因為執法機構缺乏捉拿他們的興趣。
至於為什麼肇事者認為他們可以逃脫此類攻擊的制裁,Plum猜測,「他們感覺自己是無敵的,他們有上帝模式——沒有人能碰到他們。」
釣魚攻擊在過去三個月明顯上升
黑客一旦成功入侵,就會凍結其他管理員對伺服器的控制權,限制社區成員發送消息的能力。他們發佈了一個假的空投公告,將所有人發送到一個旨在竊取其 NFT 的釣魚網站。他們就可以在一瞬間竊取了價值一百萬美元的 NFT 和代幣,而團隊只能坐視不管。
「我們非常擔心」,Orbiter Finance 的業務發展經理 Gwen 在一次訪談中講述了發生的事情。「如果我們對(我們的社區成員)造成任何損害,我們將失去他們的信任。」
Orbiter 攻擊只是涉及 NFT 漏洞利用者和被入侵的 Discord 伺服器或 Twitter 帳戶的一連串攻擊中的一個最近的例子。NFT 分析師和安全專家 OKHotshot 收集的數據顯示,自 2021 年 12 月以來,至少有 900 個 Discord 伺服器被入侵,進行了釣魚攻擊,其中在過去三個月中有顯著的上升趨勢。
通常漏洞利用代碼攻擊
這些計劃通常涉及在新興的漏洞利用代碼黑市上進行交易。
釣魚攻擊的策劃者首先前往 Telegram 和 Discord,在那裡可以找到由多種不同漏洞利用開發人員運營的頻道。他們聯繫開發人員並購買漏洞利用代碼,漏洞利用代碼通常用於攻擊 Discord 伺服器和 Twitter 帳戶,以便將釣魚網站鏈接發送給社區成員。
這些漏洞利用代碼的價格從幾百美元到數千美元不等,取決於代碼的功能和效果。一些漏洞利用代碼還包括自動化工具,可以大幅加速攻擊過程。
攻擊者通常會使用假名或匿名身份進行交易,使追踪他們的身份變得更加困難。他們還會使用加密貨幣作為支付手段,使跟踪款項流動變得更加困難。
除了漏洞利用代碼外,攻擊者還會使用社交工程學技巧來誘騙社區成員。他們可能會創建假的空投活動或競賽,以吸引社區成員提供其私人鑰匙和其他敏感信息。一旦攻擊者獲得了這些信息,他們就可以使用它們來竊取 NFT 和代幣。
如何保護自己
保護自己免受 NFT 釣魚攻擊的最佳方法之一是保持警惕。如果用戶收到來自不熟悉的人員的信息或看到來自不明來源的鏈接,請勿點擊或回覆。尤其是當涉及到您的加密貨幣錢包或私人鑰匙時,請格外小心。
此外,請務必定期更新的軟件和安全性工具。這些更新通常包括新的安全性修補程序,可以幫助防止釣魚攻擊和其他安全漏洞。
最重要的是,請保護好私人鑰匙。私人鑰匙是存儲加密貨幣和 NFT 的唯一方式,如果它們落入錯誤的手中,資產可能會遭受損失。請勿將私人鑰匙分享給任何人,並將其儲存在安全的地方,例如硬件錢包或離線儲存設備。
最後,如果發現自己成為了 NFT 釣魚攻擊的受害者,請立即採取行動。通過向當地執法機構、錢包提供商或相關平台報告攻擊,以抵禦黑客繼續攻擊。
同場加映:【財科暗戰】Ledger 冷錢包不再安全? 如何妥善保管加密資產?